BUSCON Business- & IT-Consulting

BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld

20. September 2022/in Ereignisse/von Jürgen Schmidt

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.

Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E‑Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E‑Commerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

Verbraucherzentrale NRW: Dem Fakeshop auf der Spur

18. August 2022/in Ereignisse/von Jürgen Schmidt

Als aufmerksame Leserinnen und Leser dieses Newsletters wissen Sie, dass es immer wieder zu Betrügereien beim Online-Handel kommt. Ein Tool der Verbraucherzentrale Nordrhein-Westfalen unterstützt Verbraucherinnen und Verbraucher nun dabei, Fake-Shops zu erkennen. Über ein Online-Formular gibt es die Möglichkeit, die URL eines Online-Shops zu prüfen. Der Fakeshopfinder überprüft daraufhin die Webseite auf Merkmale eines Fakeshops. Eine Ampel signalisiert, inwieweit Nutzerinnen und Nutzer dem Shop vertrauen können.

Die Verbraucherzentrale Nordrhein-Westfalen stellt den Fakeshopfinder online bereit: https://www.verbraucherzentrale.nrw/fakeshopfinder-71560

BSI: Einschätzung der aktuellen Cyber-Sicherheitslage in Deutschland nach dem russischen Angriff auf die Ukraine

4. August 2022/in Ereignisse/von Jürgen Schmidt

UPDATE vom 3. August 2022

In Anbetracht des russischen Angriffskrieges gegen die Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit in Deutschland.

Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft (siehe dazu auch den BSI-Bericht “Die Lage der IT-Sicherheit in Deutschland 2021”). Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Weitere Informationen zur Bedrohungslage sowie konkrete Hinweise zur Umsetzung von Cyber-Sicherheitsmaßnahmen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dabei handelte es sich u.a. um Kollateralschäden aus Cyber-Aktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen.

Seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

Trotz der wenigen konkreten Vorfälle kann sich die Lage jederzeit ändern.

Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur – demnach Anlagen zur Versorgung der Allgemeinheit – potenzielles Ziel von Angriffen sein können.

Durch die bestehenden Abhängigkeiten von Energieimporten kommt den Branchen Strom, Gas und Mineralöl aktuell eine außergewöhnliche Relevanz zu. Der Sektor Energie stellt somit aktuell ein besonders attraktives Angriffsziel für Cyber-Attacken dar.

Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen, wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

Das BSI als die Cyber-Sicherheitsbehörde des Bundes steht zur Bewertung der IT-Sicherheitslage fortwährend in engem Austausch mit dem Bundesministerium des Innern und für Heimat sowie zahlreichen nationalen und internationalen Partnerbehörden.

Vollständiger Artikel: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220225_Angriff-Ukraine-Statement.html

BayLDA: Datenschutzprüfung zum Thema Absicherung von E‑Mail-Accounts gestartet

1. Juni 2022/in Ereignisse/von Jürgen Schmidt

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA hat die nächste Präventionsprüfung zum Thema Absicherung von E‑Mail-Accounts gestartet. Es geht um die datenschutzrechtliche Prüfung hinsichtlich technischer und organisatorischer Maßnahmen zum vorbeugenden Schutz gegen Cyberattacken auf E‑Mail-Accounts (insb. Phishing). Weitere Informationen und den Prüffragen auf deren HP.

Link: https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

DsiN-Praxisreport zeigt eklatante IT-Sicherheitsmängel in kleineren Unternehmen

25. Mai 2022/in Ereignisse/von Jürgen Schmidt

Besonders kleinere Unternehmen in Deutschland schützen sich nicht ausreichend vor IT-Risiken, stellt der aktuelle Praxisreport der Initiative Deutschland sicher im Netz (DsiN) fest. Da erscheint es wenig verwunderlich, dass auch der Anteil folgenreicher IT-Angriffe auf mittelständische Unternehmen merklich gestiegen sei. Laut DsiN führten mehr als drei Viertel aller Angriffe zu spürbaren Auswirkungen (76 Prozent), bei jedem achten Unternehmen wurden sie als erheblich, bei vier Prozent sogar als existenzgefährdend angegeben. Zwar bewertete jedes dritte Unternehmen die unzureichende Absicherung der eigenen IT als Risiko, allerdings seien die Defizite bei Standardmaßnahmen des Cyberschutzes “besonders auffällig”: So verfügen 64 Prozent der Unternehmen über keine Maßnahmen der Angriffsangriffserkennung, mehr als ein Drittel verzichte auf IT-Notfallpläne (34 Prozent), 43 Prozent seien nachlässig im Umgang mit Software- und Sicherheitsupdates.

Weitere Informationen zum DsiN-Praxisreport: https://www.sicher-im-netz.de/dsin-praxisreport-42-prozent-im-mittelstand-melden-it-angriffe

BvD begrüßt „Privacy Shield“-Nachfolgeabkommen, mahnt aber vor überzogenen Erwartungen

28. März 2022/in Ereignisse/von Jürgen Schmidt

Brüssel und Washington haben eine grundsätzliche Einigung über ein überarbeitetes Nachfolgeabkommen zu „Privacy Shield“ erzielt, gaben Präsidentin der Europäischen Kommission Ursula von der Leyen und US-Präsident Joe Biden heute im Rahmen von Bidens Besuch in Brüssel bekannt.

Seit der Europäische Gerichtshof das „Privacy-Shield“-Abkommen im Juli 2020 gekippt hat, weil es befürchtete, dass die Daten nach der Übermittlung über den Atlantik nicht vor dem Zugriff amerikanischer Behörden sicher seien, arbeiten die Unterhändler an einem Abkommen, das den Transfer personenbezogener Daten von Europäern in die Vereinigten Staaten ermöglicht.

„Die Datenschutzbeauftragten in Deutschland begrüßen, dass die EU und die USA eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt haben“, so Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. „Die Ankündigung ist zunächst sicherlich ein Hoffnungsschimmer für unzählige Datenschutzbeauftragte, die sich in ihrer Beratung mit zunehmender Rechtsunsicherheit konfrontiert sehen, wenn es darum geht, Daten in die USA zu übermitteln.“

Der Verband sieht in der bisherigen Rechtsprechung des Europäischen Gerichtshof zu früheren transatlantischen Abkommen eine Bestätigung des durch die europäische Datenschutz-Grundverordnung begründeten sehr hohen Schutzniveaus für personenbezogene Daten und die Rechte sowie Freiheiten betroffener Personen. Gleichzeitig habe dies massive praktische Auswirkungen, da Transfers personenbezogener Daten zwischen den USA und der EU eine wichtige Grundlage darstellen für den globalen Handel und die unbeschränkte Nutzung von Onlinediensten, die nach wie vor im Schwerpunkt aus den USA heraus angeboten werden.

Beamte auf beiden Seiten des Atlantiks hatten darum gekämpft, eine Sackgasse zu überbrücken, was es bedeutet, den Europäern einen wirksamen Rechtsbehelf gegen die Überwachung durch US-Behörden zu geben. Nicht alle diese Fragen konnten gelöst werden, obwohl von der Leyens Kommentare darauf hindeuten, dass technische Lösungen in Reichweite sind. „Insofern. bleibt abzuwarten, inwiefern dieses neue Abkommen vor Gericht Bestand haben wird. Ich denke, man sollte hier keine allzu hohen Erwartungen hegen, bis Details zu dem Abkommen bekannt sind“.

DSK äußert sich zu Facebook Fanpages

28. März 2022/in Ereignisse/von Jürgen Schmidt

Die DSK hat beschlossen, die ihren Aufsichten unterstehenden obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK-TaskForce zu Facebook Fanpages zu informieren. Sie möchte erreichen, dass die Behörden ihre Fanpages deaktivieren, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können. Dazu sagte Professor Kelber: „Facebook Fanpages lassen sich aktuell nicht datenschutzkonform betreiben. Zu diesem Ergebnis kam auch die von der DSK eingesetzte TaskForce. Behörden haben hier eine besondere Verantwortung und eine Vorbildfunktion für die Bürgerinnen und Bürger.“

Die Dokumente zur DSK und das Kurzgutachten der TaskForce Fanpages finden Sie in Kürze auf der Homepage der Datenschutzkonferenz:

www.datenschutzkonferenz-online.de

Kontakt:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Straße 153
53117 Bonn
E‑Mail: pressestelle@bfdi.bund.de

3G-Nachweis und Kontaktdaten – einfach zerreißen reicht nicht!

23. März 2022/in Ereignisse/von Jürgen Schmidt

Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 23.03.2022.

Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz. „Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die von den Arbeitgeber*innen erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten“, erklärt Bettina Gayk, Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Angesichts steigender Corona-Zahlen gewann für Unternehmen die Erfassung von Gesundheitsdaten der Beschäftigten an Bedeutung, um den Betrieb trotz der Risiken durch SARS-CoV‑2 aufrechtzuhalten. Dabei wurden die Arbeitgeber*innen verpflichtet zu überwachen, ob die Beschäftigten geimpft, genesen oder getestet sind. Dazu sollte eine tägliche Nachweiskontrolle durchgeführt und dokumentiert werden. Geregelt wurde das durch das Infektionsschutzgesetz des Bundes (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Einzelfällen haben Arbeitgeber*innen Impf- oder Testnachweise sogar kopiert oder gescannt. Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden“, macht Gayk deutlich.

Dass im Zuge der Pandemie gesammelte Daten wieder gelöscht oder vernichtet werden müssen, ist nicht neu. So ist bereits die Pflicht zur Kontaktdatenerhebung für bestimmte Wirtschaftsbereiche – zum Beispiel in der Gastronomie – entfallen, als am 20. August 2021 die „Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV‑2“ (Corona-Schutzverordnung) der NRW-Landesregierung geändert wurde. Allerdings kann sie seitdem noch weiterhin durch die Städte und Gemeinden als örtliche Ordnungsbehörden angeordnet werden.

Gayk: „Inzwischen geht es darum, die erhobenen Daten rechtskonform zu entsorgen. Das bedeutet: Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden.“ Ein Zerreißen von Hand sei nicht ausreichend. Wie Datenträger datenschutzkonform vernichtet werden können, regelt unter anderem die DIN 66399. Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2 – 4, 40213 Düsseldorf
Tel.: 0211 – 38424 – 158
Fax: 0211 – 38424 – 999
E‑Mail: pressestelle@ldi.nrw.de
Internet: www.ldi.nrw.de

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

15. März 2022/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nach §7 BSI-Gesetz vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.

Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.

Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.

Alle Nutzerinnen und Nutzer der Virenschutzsoftware können von solchen Operationen betroffen sein. Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen sind in besonderem Maße gefährdet. Sie haben die Möglichkeit, sich vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten zu lassen.

Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Würden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der Umstieg auf andere Produkte ist mit vorübergehenden Komfort‑, Funktions- und Sicherheitseinbußen verbunden. Das BSI empfiehlt, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen sind in den FAQ zusammengefasst.

LfDI BW: Öffentliche Stellen: Raus aus Facebook, Twitter, TikTok!“

15. März 2022/in Ereignisse/von Jürgen Schmidt

„Stefan Brink und Clarissa Henning appellieren: Öffentliche Stellen sollten aus den vermeintlich Sozialen Medien aussteigen. Warum die nicht sozial sind, was Polizei, Kommunen und Co. stattdessen tun sollten und was das mit dem Vertrauen in mündige Bürger zu tun hat, kommentieren sie in ihrem Gastbeitrag.“ Vom 15.3.22.

Zum Beitrag: https://netzpolitik.org/

BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld

Verbraucherzentrale NRW: Dem Fakeshop auf der Spur

BSI: Einschätzung der aktuellen Cyber-Sicherheitslage in Deutschland nach dem russischen Angriff auf die Ukraine

BayLDA: Datenschutzprüfung zum Thema Absicherung von E‑Mail-Accounts gestartet

DsiN-Praxisreport zeigt eklatante IT-Sicherheitsmängel in kleineren Unternehmen

BvD begrüßt „Privacy Shield“-Nachfolgeabkommen, mahnt aber vor überzogenen Erwartungen

DSK äußert sich zu Facebook Fanpages

3G-Nachweis und Kontaktdaten – einfach zerreißen reicht nicht!

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

LfDI BW: Öffentliche Stellen: Raus aus Facebook, Twitter, TikTok!“

Archive

BayLDA

Shortlinks

Business- & IT-Consulting

Archi­ve

Short­links

Busi­ness- & IT-Consulting

Archive

Shortlinks

Business- & IT-Consulting